Xakep #305. Многошаговые SQL-инъекции
Один из наиболее активных ботнетов 2019 года, Emotet, не подавал почти никаких «признаков жизни» с февраля текущего года. Теперь же ИБ-эксперты предупредили, что Emotet вернулся в строй с новой спам-кампанией.
Emotet появился еще в 2014 году и сейчас, это одна из наиболее активных угроз среди вредоносных программ. Малварь распространяется преимущественно с почтовым спамом, через вредоносные документы Office. Такие письма могут маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку и даже под информацию о распространении коронавируса. Словом, хакеры внимательно следят за мировыми трендами и постоянно совершенствуют свои приманки.
Хотя когда-то Emotet начинал свой пусть как классический банковский троян, сейчас угроза сильно видоизменилась, превратившись в мощный загрузчик, а ее операторы стали активно сотрудничать с другим преступными группами.
Сегодня Emotet поставляется с множеством модулей, которые позволяют малвари распространяться внутри сети. Весной текущего года ИБ-специалисты обнаружили, что для бокового перемещения Emotet даже может действовать как Wi-Fi червь.
Проникнув в систему жертвы, Emotet использует зараженную машину для дальнейшей рассылки спама, а также устанавливает на устройство самую разную дополнительную малварь. Зачастую это банкеры, такие как Trickbot (который ворует учетные данные, cookie, историю браузера, ключи SSH и так далее), майнеры, инфостилеры, а также шифровальщики, вроде Ryuk.
Возвращение Emotet в конце прошлой недели зафиксировали специалисты CSIS, Microsoft, Malwarebytes, Abuse.ch, Spamhaus, а также группа независимых исследователей Cryptolaemus, уже несколько лет внимательно следящая за активностью ботнета.
Эксперты пишут, что новая спам-кампания нацелена преимущественно на пользователей из США и Великобритании, а письма-приманки написаны на английском языке. Послания злоумышленников содержат либо документы Word, либо URL-адреса, ведущие к загрузке таких файлов (обычно размещающихся на взломанных сайтах на базе WordPress). Подобные документы опасны из-за вредоносных макросов, которые (если они включены), в итоге приводят к загрузке и установке Emotet.
Исследователи отмечают, что вместе с уже известными шаблонами в Word-приманках используется и новый шаблон, который сообщает пользователю, что документ якобы нельзя открыть обычным способом, так как тот был создан в iOS.
По данным специалистов, в ходе новой кампании уже было отправлено более 250 000 таких писем.
#Emotet spinning up their buisness. New spam modules being pushed and new spamwaves coming in from both Epoch 2 and 3. Either attached a doc or a mallink. Current Emotet tier-1 C&C geolocation attached. pic.twitter.com/vUTuf9v0GM
— peterkruse (@peterkruse) July 17, 2020
Нужно отметить, что это не первый длительный перерыв в работе Emotet. В прошлом году ботнет бездействовал около четырех месяцев, но потом все же возобновил работу.